Secure Shell セッションの GSSAPI (Kerberos) 認証
56
Secure Shell 構成ファイル 『19ページ 』を編集します。使用するプロトコルに応じて、以 下の行の一方または両方を使用します。最初の行ではプロトコルバージョン 1 のチケット転 送を無効にし、2 番目の行ではプロトコルバージョン 2 のチケット転送を無効にします。
KerberosTgtPassing no
GssapiDelegateCredentials no
プリンシパルプロファイルで使用されるレルムのチケット転送を無効にするには、
Reflection Kerberos マネージャを使用します (システムで使用可能な場合)。これら の変更は Reflection Kerberos を使用するように構成された Secure Shell セッ ションに影響しますが、SSPI を使用するように構成されたセッションには影響しません。上 記の方法のいずれかを使用してチケット転送を構成している場合、Reflection Kerberos マネージャで行われた変更は無視されます。
GSSAPI Secure Shell セッションのサービスプリンシパルの 指定
サービスプリンシパル名とは、Reflection が Kerberos Key Distribution Center (KDC) へサービスチケット要求を送信する時に使用する名前です。形式は次のとおりです。
hostname.domain.com@REALM
Reflection によって使用される名前は、[Reflection Secure Shell の設定] ダイア ログボックスの [GSSAPI] 『56ページ 』 タブで構成する設定によって決まります。[既定のサ ービスプリンシパル名を使用する] がオン (既定) の場合、ホスト名の値は接続先の Secure Shell サーバの名前で、レルムの値は選択した GSSAPI プロバイダによって決まり ます。
Reflection Kerberos 『55ページ 』 を使用している場合、レルム名は、既定プリンシ パルプロファイルで指定したものになります。
SSPI を使用している場合、レルム名は Windows のドメイン名です。
既定以外の値を指定するには、[サービスプリンシパル] 設定を使用します。GSSAPI プロバイ ダとして SSPI を選択している場合、この設定を使用して、Windows ドメインとは異なるレルム のサービスプリンシパルを指定できます。次のように、完全なホスト名の後に @、そしてレルム名 を続けてください。
[GSSAPI] タブ ([Reflection Secure Shell の設定 ] ダイ アログボックス )
表示方法 『15ページ 』
[Reflection Secure Shell の設定] ダイアログボックスの [GSSAPI] タブを使用し て、GSSAPI 認証の設定を指定できます。このタブの項目は、[一般] 『15ページ 』 タブの [ユ ーザ認証] 一覧で [GSSAPI/Kerberos] が選択されている場合にだけ使用可能です。
次のオプションがあります。
[SSPI] Microsoft SSPI (Security Services Provider Interface) を使用します。SSPI では、Windows ドメイ ンのログイン資格情報を使用して、Secure Shell サーバ に対して認証します。これをオンにすると、Reflection Kerberos クライアントを構成する必要がなくなるため、セ ットアップが簡素化されます。
57
[Reflection Kerberos] Kerberos/GSSAPI 認証のために Reflection Kerberos クライアントを使用します。Reflection Kerberos クライアントを使用して接続する前に、使用する コンピュータで Reflection Kerberos を構成する必要 があります。
[構成] Reflection Kerberos クライアントを構成します。この ボタンは、[Reflection Kerberos] が選択された GSSAPI プロバイダである場合のみ使用できます。
[資格情報を委任] GSSAPI がホストへ Kerberos 発券許可チケット (TGT) を転送するかどうかを指定します。
[既定のサービスプリンシパル 名を使用]
Kerberos Key Distribution Center (KDC) へサ ービスチケット要求を送信する時に Reflection が使用 する名前を指定します。ホスト名の値は、接続先の Secure Shell サーバの名前です。レルム値は、選択し た GSSAPI プロバイダによって異なります。
[サービスプリンシパル] 既定以外のサービスプリンシパル値を指定します。
59
ポート転送
この章の内容
ローカルポート転送 60
リモートポート転送 62
TCP 通信の転送 63
FTP 通信の転送 64
[トンネリング] タブ ([Reflection Secure Shell の設定] ダイアログボックス) 65
[ローカルポート転送] ダイアログボックス 66
[リモートポート転送] ダイアログボックス 67
マルチホップ Secure Shell セッションの構成 67 [マルチホップ] タブ ([Reflection Secure Shell の設定] ダイアログボックス) 69
[マルチホップサーバの構成] ダイアログボックス 69
トンネリングとしても知られるポート転送は、アクティブなセッションにおける Secure Shell チ ャネルを通じて通信をリダイレクトするための方法を提供します。ポート転送が構成されると、指 定のポートへ送信されるすべてのデータは、保護されたチャネルを通じてリダイレクトされます。
ローカルポート転送またはリモートポート転送のいずれかを構成できます。「ローカル」および「リ モート」という用語は、Secure Shell クライアントを基準にしてリダイレクトされたポート位置を 示します。Reflection では、TCP 通信と FTP 通信の両方のローカルポート転送に対応して います。リモートポート転送は、TCP 通信のみに対応します。
用語集
ポート転送には、クライアントアプリケーションとサーバアプリケーションの 2 つのセット
(Secure Shell クライアントとサーバ、およびデータが転送されるクライアント/サーバのペア) が必要です。このガイドでは、ポート転送に関連して以下のように定義された用語を使用します。
用語 定義
Secure Shell サーバ Reflection for Secure IT サーバデーモン Secure Shell サーバホ
スト
Secure Shell サーバを実行しているコンピュータ Secure Shell クライアン
ト
Reflection for Secure IT クライアントアプリケーション Secure Shell クライアン
トホスト
Secure Shell クライアントを実行しているコンピュータ アプリケーションクライアント そのデータを転送したいクライアント/サーバのペアのクライアントプ
ログラム。例えば、メールクライアントまたは Web ブラウザです。
アプリケーションクライアント ホスト
アプリケーションクライアントを実行しているコンピュータ。通常は Secure Shell サーバホストまたは Secure Shell クライアン トホストのいずれかになりますが、3 番目のホストにすることもできま す。